Tenemos MFA y un IdP. ¿Por qué aún necesitamos protección contra ATO?

La MFA detiene el relleno de credenciales; no detiene el secuestro de sesión a través de proxies AiTM. Una vez que el atacante tiene una sesión válida, su IdP no puede distinguirlos del usuario. Abnormal se sitúa una capa más abajo — en el comportamiento — y detecta la desviación cuando la sesión legítima está siendo utilizada por la persona equivocada.

¿Cómo detecta Abnormal un secuestro sin ver el inicio de sesión?

Abnormal ingiere señales de autenticación a través de API (M365, Google Workspace, Okta, Entra) más comportamiento del buzón, reglas de correo y actividad entre aplicaciones. La señal es la desviación: ASN inusual, dispositivo nuevo, horarios atípicos, reglas de correo repentinas, primer acceso a carpetas sensibles — puntuados juntos contra el patrón de referencia conductual de la identidad.

¿Qué tan rápido ocurre la resolución?

Menos de seis segundos desde la detección hasta la contención. Abnormal deshabilita la sesión, termina las reglas de reenvío automático, elimina los correos de phishing enviados desde la cuenta comprometida y notifica al SOC — todo de forma autónoma. No se requiere acción del analista.

¿Esto cubre el secuestro de cuentas SaaS, no solo correo electrónico?

Sí. SaaS Account Takeover Protection de Abnormal extiende el mismo modelo conductual a Slack, Zoom y otras aplicaciones en la nube. Una sesión comprometida de M365 que pivota a Slack se detecta como movimiento lateral entre aplicaciones, no como dos eventos de SSO no relacionados.

¿Cuál es la tasa de falsos positivos en bloqueos de cuentas?

Casi cero. Los patrones de referencia por identidad distinguen viajes y trabajo remoto de compromiso — un viajero frecuente que inicia sesión desde un país nuevo no es anómalo para ellos. Cuando ocurren falsos positivos, restaurar el acceso es una acción de un clic y la plataforma aprende de la corrección.

Prevenir el Secuestro de Cuentas

El Atacante Ha Iniciado Sesión como Su Empleado

Una vez que los atacantes tienen credenciales válidas, todas las herramientas de su stack ven un usuario legítimo — Abnormal ve la ruptura de comportamiento que delata el ataque.

Solicitar demostración

Ataques combinados prevenidos en ADT durante 24 meses

Historia de cliente ADT

<0s

Tiempo para bloquear una cuenta comprometida una vez detectada

Abnormal Platform

0 %+

Reducción en ataques de secuestro de cuentas en TaylorMade

Historia de cliente TaylorMade

Realizar un Recorrido del Producto

El Desafío

Por Qué Su Stack de Identidad No Puede Ver un Secuestro Activo

Las credenciales válidas derrotan la MFA

Los kits de phishing AiTM actúan como proxy de todo el flujo de inicio de sesión, incluida la MFA — su IdP ve una autenticación exitosa y la marca como válida.

Las reglas de correo y los reenviadores se implementan en silencio

Los atacantes configuran reglas de reenvío automático en minutos después del compromiso para extraer correo sin generar alertas.

Phishing lateral desde dentro de la organización

Las cuentas comprometidas envían phishing desde el interior, donde los mensajes nunca cruzan la puerta de enlace y parecen perfectamente normales.

El movimiento lateral en SaaS ocurre en minutos

Slack, Zoom y SharePoint comparten SSO — una sesión robada pivota a través de todo su entorno SaaS.

La resolución manual llega horas después de la exfiltración

Para cuando un analista de SOC correlaciona la alerta de inicio de sesión y deshabilita la cuenta, los datos ya se han ido.

Incidente Real

UnUnatacanteatacanteactuóactuócomocomoproxyproxydedeununinicioiniciodedesesiónsesiónrealrealaatravéstravésdedeEvilProxy,EvilProxy,capturócapturólalasesiónsesiónMFA,MFA,configuróconfiguróunaunareglaregladedereenvíoreenvíoautomáticoautomáticoyyexfiltróexfiltróarchivosarchivosadjuntosadjuntosdedefacturasfacturas——todastodaslaslasverificacionesverificacionesdijerondijeronautorizado,autorizado,elelcomportamientocomportamientodijodijocomprometido.comprometido.

Basado en un incidente real de cliente

La Solución

Detectar Secuestros de Cuentas al Primer Signo de Riesgo

Puntúa señales de autenticación, dispositivo y ubicación contra el patrón de referencia de cada identidad para detectar credenciales válidas siendo mal utilizadas — incluso después de la MFA.
Correlaciona cambios en reglas de buzón, phishing lateral y actividad entre aplicaciones para revelar un secuestro en el momento en que el comportamiento se desvía.
Termina la sesión secuestrada, revierte reglas de correo maliciosas y elimina el phishing enviado desde la cuenta en menos de seis segundos — sin acción del analista.

Capacidades principales

IA Conductual que Detiene los Secuestros de Cuentas

Detecte el Comportamiento, No el Inicio de Sesión

Los patrones de referencia por identidad puntúan autenticación, buzón y cambios de reglas juntos — detectando la desviación cuando las credenciales válidas se utilizan incorrectamente.

Visibilidad Conductual entre Aplicaciones

Slack, Zoom y su entorno SaaS comparten un modelo conductual — el movimiento lateral se detecta incluso cuando cada pivote parece un flujo de SSO normal.

Bloquee a los Atacantes en Menos de 6 Segundos

Sesión terminada, reglas de correo revertidas, phishing enviado desde la cuenta eliminado automáticamente, SOC notificado — todo sin acción del analista.

Ver descripción general de la plataforma

Más del 25 % de las empresas Fortune 500 confían en Abnormal AI para
decisiones de seguridad autónomas y de misión crítica

Voz del Cliente

Resultados Reales de Equipos de Seguridad

“Abnormal's automation gives our analysts time back to work on other projects, and the fact that it's API-based gives us flexibility to tie in other applications and their data.”

John Roeser

Senior Manager, Information Security, Domino's

“Our goals are to get away from being so reliant on human judgment and leverage AI to be proactive. Abnormal helps us with those goals.”

Corey Kaemming

Senior Director, Information Security, Valvoline

Abnormal impulsa a más de 4500 clientes, incluido más del 25 % de las empresas Fortune 500.

Historias de clientes

FAQ

Recursos Relacionados

Webinars

The Detection Gap: Why AI-Powered Attacks Are Winning Against Legacy Email Security

Watch this on-demand webinar to learn how AI-powered BEC attacks bypass secure email gateways, and how behavioral AI can detect what legacy tools miss.

White Papers

The Essential Guide to Human Risk Management

Learn why traditional security awareness training fails to reduce real-world risk and how modern human risk management helps organizations measure and reduce risky behavior over time.

Data Sheets

Displace Your Secure Email Gateway

Stop sophisticated email attacks that target your employees using native cloud-based email security plus Abnormal.

Ver Todos los Recursos

Bloquee a los Atacantes Antes de que Se Muevan Lateralmente

Implemente en 60 segundos a través de API. Sin cambios de MX. Detecte cuentas comprometidas en segundos — resuelva automáticamente en menos de seis.

Solicitar demostración

Seguridad de identidad e IA

Plataforma

Recursos de productos

Soporte

Destacado

Liderazgo de pensamiento

Destacado

Empresa

Noticias y eventos

Destacado

El Atacante Ha Iniciado Sesión como Su Empleado

Por Qué Su Stack de Identidad No Puede Ver un Secuestro Activo

Las credenciales válidas derrotan la MFA

Las reglas de correo y los reenviadores se implementan en silencio

Phishing lateral desde dentro de la organización

El movimiento lateral en SaaS ocurre en minutos

La resolución manual llega horas después de la exfiltración

Detectar Secuestros de Cuentas al Primer Signo de Riesgo

IA Conductual que Detiene los Secuestros de Cuentas

Más del 25 % de las empresas Fortune 500 confían en Abnormal AI para
decisiones de seguridad autónomas y de misión crítica

Resultados Reales de Equipos de Seguridad

“Abnormal's automation gives our analysts time back to work on other projects, and the fact that it's API-based gives us flexibility to tie in other applications and their data.”

“Our goals are to get away from being so reliant on human judgment and leverage AI to be proactive. Abnormal helps us with those goals.”

FAQ

Recursos Relacionados

Bloquee a los Atacantes Antes de que Se Muevan Lateralmente

El Atacante Ha Iniciado Sesión como Su Empleado

Por Qué Su Stack de Identidad No Puede Ver un Secuestro Activo

Las credenciales válidas derrotan la MFA

Las reglas de correo y los reenviadores se implementan en silencio

Phishing lateral desde dentro de la organización

El movimiento lateral en SaaS ocurre en minutos

La resolución manual llega horas después de la exfiltración

Detectar Secuestros de Cuentas al Primer Signo de Riesgo

IA Conductual que Detiene los Secuestros de Cuentas

Más del 25 % de las empresas Fortune 500 confían en Abnormal AI paradecisiones de seguridad autónomas y de misión crítica

Resultados Reales de Equipos de Seguridad

“Abnormal's automation gives our analysts time back to work on other projects, and the fact that it's API-based gives us flexibility to tie in other applications and their data.”

“Our goals are to get away from being so reliant on human judgment and leverage AI to be proactive. Abnormal helps us with those goals.”

FAQ

Recursos Relacionados

Bloquee a los Atacantes Antes de que Se Muevan Lateralmente

Más del 25 % de las empresas Fortune 500 confían en Abnormal AI para
decisiones de seguridad autónomas y de misión crítica